스택큐힙리스트

인증과 같은 상황에서 JWT를 사용하는 것의 장점은 무엇인가요? JWT는 독립적인 접근 방식으로 사용되는지 아니면 세션 안에서 사용되는지요?답변 1JWT 토큰을 사용하는 또 다른 이점은 대부분의 언어에서 사용할 수 있는 라이브러리를 사용하여 비교적 쉽게 구현할 수 있다는 것입니다. 또한 초기 사용자 인증 체계와 완전히 분리되어 있으므로 지문 기반 시스템으로 전환해도 세션 관리 체계를 변경할 필요가 없습니다. 더 미묘한 이점은 JWT가 정보를 운반할 수 있고 클라이언트에서 액세스할 수 있다는 것입니다. 이로 인해 몇 일 전에 세션이 만료될 것임을 사용자에게 알려줄 수 있으며 토큰에서 만료 날짜를 기반으로 다시 인증할 수 있는 옵션을 제공할 수 있습니다. 상상할 수 있는 모든 것을 할 수 있습니다. 요약하면..

소켓 연결을 인증하는 방법은 어떻게 할 수 있을까요? 제 응용 프로그램은 다른 서버 (파이썬)에서 로그인 엔드포인트를 사용하여 토큰을 받습니다. 사용자가 노드 측에서 소켓 연결을 열 때마다 해당 토큰을 사용하는 방법을 알고 싶습니다. io.on('connection', function(socket) { socket.on('message', function(message) { io.emit('message', message); }); }); 이는 클라이언트 측입니다: var token = sessionStorage.token; var socket = io.connect('http://localhost:3000', { query: 'token=' + token }); 토큰이 파이썬에서 생성된 경우: toke..

저는 OAuth 2.0 JWT access_token을 내 인증 서버에 구현하고 있습니다. 그러나, JWT의 aud claim과 client_id HTTP 헤더 값의 차이에 대해 명확히 이해되지 않습니다. 그들은 같은가요? 그렇지 않다면, 둘 사이의 차이를 설명해 주실 수 있을까요? 저의 의심은 aud가 리소스 서버를 가리켜야 하고, client_id가 인증 서버에서 인식하는 클라이언트 응용 프로그램 중 하나를 가리켜야 한다는 것입니다. (예: 웹 앱 또는 iOS 앱) 현재 경우, 제 리소스 서버는 동시에 제 웹 앱 클라이언트입니다.답변 1결과적으로, 제 의심이 맞았습니다. JWT의 audience aud 클레임은 토큰을 수락해야 하는 리소스 서버를 가리키도록 설계되었습니다. 이 게시물에서는 다음과 같이..

우리의 새로운 REST API에 JWT 기반 인증을 구현하고 싶습니다. 하지만 토큰에 유효기간이 설정되어 있기 때문에 자동으로 연장할 수 있을까요? 사용자가 일정 기간 동안 애플리케이션을 활발하게 사용 중이라면 X 분마다 로그인해야하는 경우를 원하지 않습니다. 그렇게 된다면 사용자 경험에 큰 실패가 발생합니다. 하지만 만료 기간을 연장하면 새로운 토큰이 생성됩니다 (그리고 이전 토큰은 만료될 때까지 여전히 유효합니다). 그리고 각 요청 후에 새로운 토큰을 생성하는 것은 나에게 어리석게 들립니다. 동일한 시간에 여러 토큰이 유효한 보안 문제처럼 들립니다. 물론 검정 목록을 사용하여 이전에 사용된 토큰을 무효화 할 수는 있지만, 토큰을 저장해야합니다. 그리고 JWT의 이점 중 하나는 저장이 없다는 것입니다...